Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
『Sysdigで始めてみる [偉い人] < “弊社のセキュリティ大丈夫?” ← “大丈夫!” ...
Search
Kazuhiro Hashimoto
September 04, 2024
0
1.9k
『Sysdigで始めてみる [偉い人] < “弊社のセキュリティ大丈夫?” ← “大丈夫!” > [現場] なセキュリティ対策』
Kazuhiro Hashimoto
September 04, 2024
Tweet
Share
Featured
See All Featured
Practical Orchestrator
shlominoach
186
10k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
Side Projects
sachag
452
42k
Bash Introduction
62gerente
608
210k
Fashionably flexible responsive web design (full day workshop)
malarkey
405
66k
What's in a price? How to price your products and services
michaelherold
243
12k
Gamification - CAS2011
davidbonilla
80
5.1k
How to Ace a Technical Interview
jacobian
276
23k
KATA
mclloyd
29
14k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
17
2.3k
The World Runs on Bad Software
bkeepers
PRO
65
11k
How GitHub (no longer) Works
holman
311
140k
Transcript
実例から学ぶ セキュリティ監視 〜Sysdigで始めてみる [偉い人] < “弊社のセキュリティ大丈夫?” “大丈夫!” > [現場] なセキュリティ対策〜
自己紹介 • 経歴 ◦ 2002〜2014 SIer ネットワークエンジニア ◦ 2015〜2024 ゲーム会社
サーバインフラ/SREチームリード ◦ 2024/07〜 本業 タイミー プラットフォームエンジニアリンググループ ◦ & 今年〜 副業フリーランス 複数企業支援 ← ここの立ち位置でのお話 • 技術領域・役割 ◦ SRE、プラットフォームエンジニアリング ◦ クラウド(AWS / GCP)、IaC ◦ プロダクト・セキュリティ
ある日のやりとり 利用: https://hi0a.com/demo/-js/js-talk-line/
『セキュリティ』難しいですよね。 • 広い • 深い • 重い
『セキュリティ』難しいですよね。 • 広い • 深い • 重い ※この資料では”インフラ寄り”の部分です コード(フロントエンド) コード(バックエンド)
ランタイム クラウド PC等開発環境 このへん
やっていくしかない • クラウド知識 • インフラ知識 • 認証(IAM)
ここで何を言えると良い? - インフラ変更管理・レビューを厳格に行っています - 資産台帳管理と定期的な棚卸しを行っています - 外部通信をプロキシにより制限しています - セキュリティ診断をして定期的に是正しています -
ウィルススキャンをサーバにインストールしています - … etc. (でも、今この瞬間のセキュリティは不安なんだよなぁ...)
最近の”クラウドネイティブ”を前提にすると • 100% 完璧な防御の構築は無理 ◦ 侵入をされないシステムはない ◦ 侵入されたらどう気づく か?を前提にした監視 •
100% 完璧な状態の維持は無理 ◦ 人はミスをする ◦ 人のミスにどう気づく か?を前提にした監視 • “素早いシステム開発”だとなおさら [厳格さ = 大変さ] に 侵入されないシステム → 侵入されてもダメージコントロールが可能なシステム
ふたたび。ここで何を言えると良い?
これをやっていくには? いろいろあって どこから手をつけたら いいんだろう イチから作るの大変そう
Sysdigを中心にやってみる。が、色んな機能が... 引用: https://sysdig.jp
Sysdigで出来るセキュリティ対策(取り急ぎ版) どんどん機能強化がされていたり・様々な機能があるので取り急ぎできると良いものをpick-upしています
runtime脅威検知の雰囲気 (&マルウェア) ★万が一侵入されたときに気づく ※ 以下、添付している画像は Sysdig Secure評価アカウントの画面イメージを使用しています
- Cloud Audit Logベースでの検知 - SystemCall(Agent)での検知 - Saasサービス(Github, Okta)での検知
None
None
None
None
脆弱性・マルウェア検知の雰囲気 ★侵入されないための堅固さの維持
None
None
IAM(CIEM)の雰囲気 ★侵入されないための堅固さの維持・人のミス(設定ミス・誤った操作)に気づく
None
None
benchmarkの雰囲気 ★侵入されないための堅固さの維持・人のミス(設定ミス・誤った操作)に気づく
None
GuardDuty, Security Command Center? - AWS, GCP等のクラウドセキュリティ機能との棲み分けは? - マルチクラウドだとSysdigに寄せつつ併用もアリ -
各クラウドのセットアップやクセの把握が大変な場面も - なので、同じUI/UX(Sysdig)で監視を集約 するのが良いことも - ただ、Sysdigだけで全部完結といかないところも - アノマリ検知 はクラウド固有のセキュリティ監視が強い場合も - 監視はFalsePositiveとの戦い - falco ruleやregoによるPolicy as Codeを実装しやすい点はsysdig優位 ※個人の感想を多く含みます
おまけ(残り時間でできるだけ説明) false positiveとの戦いについて • Cloud, Workload(syscall), SaaS ◦ Falco Rule’s
Exception • Benchmark ◦ Rego
None
None
まとめ • セキュリティは時間とともに劣化していくもの ◦ 鉄壁防御のシステムがなければ ◦ ミスしない人・組織もない ◦ 侵入される前提で監視をする 必要性
• どのように監視するの?どこから手をつければいいの? ◦ 自分たちで仕組みを作っていくのも大変 ◦ 仕組みづくりで力尽きてセキュリティ運用回せていないかも? ◦ 全力でツールに頼ってセキュリティ監視を回せるようにする のもオススメ • セキュリティ大丈夫!と言い切れない不安解消の参考になれば幸いです